• FOI:s startsida
  • Webbkarta
  • Anpassa

Riddarborgens skydd i flera lager bra metod för att stoppa dataintrång

Ett riktigt hackerproffs lämnar inga spår efter sig. Bara amatörerna blir rubriker.

Av Ulf Lindbergh

Idag är datorer en stor del av världens infra struktur. Tidigare räckte det att fysiskt skydda datorer dels beroende på att de fanns på få ställen och dels att de i princip inte hade någon nätverksanslutning. Nu räcker det inte enbart med ett fysiskt skydd då de flesta system är nätverksbaserade och uppkopplade viaförmedlande protokoll såsom TCP/IP, vilket gör det lätt att ansluta sig till ett sådant system.

Utmaningen blir då, förutom det fysiska skyddet, att skydda nätverksanslutna datorer genom att:

  • tillhandahålla logiska skydd mot den yttre omgivningen
  • använda kryptering och stark autentisering
  • logiskt försvara individuella värddatorer, hosts

Nedan beskrivs ett antal inriktningar för att förbättra skyddet mot intrång. Beskrivningarna anger bara några av de viktigaste åtgärder man bör känna till.

Brandväggar
Brandväggar, kan vara ett bra initialt skydd för ett nätverksanslutet datorsystem, men det vanligaste problemet med dessa är brandväggens många inställningsmöjligheter som gör att de lätt kan bli felinställda tex genom att:

  • tillåta vad som helst från vem som helst, the goof up
  • släppa igenom farliga tjänster
  • ha låg säkerhet som förval tex att ett domain name system, DNS ger ifrån sig viktig information som underlättar ett intrång eller att låta Internet control messages protocol, ICMP ge sådan information att den tipsar en hacker om systemets möjligheter.
  • tillåta åtkomst av interna nätverkstjänster såsom fjärrinloggning, e-post, filöverföring mm utan stark autentisering.

Ingen brandvägg är den andra lik. Det finns fyra populära teknologier. Ofta är de en hybrid av flera produkter:

  • normal enkel paketfiltrering, filtrerande router - som är svagast
  • portbegränsning, socket relays - marginellt bättre
  • intelligentare paketfiltrering (FW-1), en rejäl förbättring, men fortfarande problematisk
  • analys av innehåll, application gateway - säkrare, men långsammare.

System för upptäckt av intrång
System för upptäckt av intrång kallas intrusion detection systems, IDS. Det används för att detektera kända mönster som kan påvisa att det pågår ett försök till intrång eller att ett intrång redan genomförts. IDS finns i olika varianter såsom:

  • paketsniffare och mönstermatchare (signaturdetektering)
  • övervakare av kända mönster i loggar
  • trafikmätare
  • anomaliupptäckare (händelser som inte borde finnas i systemet) eller detektering av förändringar. Ett IDS-system kan antingen vara en egen värddator - eller ett nätverksbaserat system.

Övervakning av uppkopplingar
För att kunna upptäcka intrång gäller det att övervaka datorsystemet och dess uppkopplingar. Det finns produkter som övervakar och skriver ut aktuella TCP-anslutningar, visar valda anslutningar på en bildskärm eller tar över eller avslutar en utvald anslutning.

Ett problem med detta är de juridiska aspekterna på övervakning och att visa lösenord eller annan känslig information

Inbrottslarm
Ett logiskt inbrottslarm är en del i ett flernivåskydd. Om brandväggen passeras av en angripare bör ett larm reagera på aktiviteter innanför brandväggen. Larmet bör varna för aktiviteter som inte borde hända vid den tidpunkten eller i den formen.

Personal och loggning
Kunnig och utbildad personal är ett måste för effektiva motåtgärder. Mänsklig reaktion på larm ska finnas och det kan inte påpekas tillräckligt ofta att en logg av aktiviteter är ytterst viktig för effektiva motåtgärder. Loggen måste ständigt övervakas av det mänskliga ögat för att man ska kunna upptäcka intrång och intrångsförsök.

Uppdateringar
Det är mycket viktigt att hänga med i intrångsutvecklingen eftersom det dagligen upptäcks nya sätt att ta sig in i system. En av de viktigaste förutsättningarna för att hackrar ska ligga steget före är att de snabbt och effektivt kan byta information med likasinnade. Ju fler som hjälps åt desto större är sannolikheten att de ska lyckas.

Ett effektivt skydd bör därför bestå av en motsvarande öppen informationsspridning mellan de som försöker skydda systemen. Ju mer information som utväxlas mellan parter om intrång och intrångsförsök, desto större är chansen att förhindra nya angrepp. Detta leder då till att öppna och icke-kommersiella programvaror är att föredra eftersom fler kan analysera dessa och hitta sårbarheter som kan delas öppet med andra.

Engångslösenord
Engångslösenord gör sniffning, knäckning och lösenordsstöld ineffektiv. Tvåfaktorssystem (någonting du vet och någonting du har eller är), tex en PIN-kod tillsammans med en lösenordsgenererare, ger stark autentisering. Det problem som kan finnas med engångslösenord är stora kostnader för implementeringen och administrering och att skydda autentiseringsservern mot intrång.

Engångsinloggning
Engångsinloggning, single sign on, kombinerad med stark autentisering ger en ännu bättre säkerhet via en centraliserad kontroll och loggning av nätverksbaserad aktivitet.

Med engångsinloggning menas att man bara loggar in på ett ställe med ett lösenord (säkerhetsserver), för att sedan få tillgång till flera olika system, i motsats till att logga in i olika system med olika lösenord. Engångsinloggning är säkrare och smidigare.

Kryptering
Krypteringsteknik är i sig ingen lösning, men en del av flera lösningar som kan användas som motmedel mot intrång. Teknikerna secure socket layer, SSL, secure shell, SSH, och virtual private network, VPN skyddar data under dess transport mellan system och förhindrar lösenordssniffning och dataläsning.

Återskapande av ett intrång
Om ett intrång har skett måste man få fram material för en eventuell polisutredning och återställa systemet till den status det hade innan intrånget skedde.

För att ta reda på vad som har hänt fram tills dess att intrånget skedde, gäller det att logga de nätverksaktiviteter som sker och att ta en ögonblicksbild av systemets inställningar när intrånget skedde.

En strategi för återskapande av ett system efter intrång omfattar:

  • att ändra samtliga användares lösenord (efter att en sniffer upptäckts)
  • att ominstallera systemprogramvaran (eller ändra delar av den, om det finns en ögonblicksbild)
  • att åtgärda aktuella sårbarheter

Spåra intrång
Att spåra intrång är en indirekt metod för att förhindra framtida intrång genom att hitta och åtala en angripare.

Det är endast den naive och okunnige angriparen som jobbar från sin egenhemadress och hemdator. En professionell angripare ”tvättar” anslutningar genom att bryta sig in i oskyddade system och använda dessa som språngbräda mot andra system. Det gör att en sådan angripare kan vara omöjlig att hitta. I pressen ser man ofta att tonåringar gjort intrång. De har förmodligen inte varit tillräckligt skickliga för att dölja sina spår. De riktigt stora lagbrytarna lär vara ytterst svåra att finna utan ett speciellt skickligt och tidskrävande utredningsarbete.

Vid spårning av ett angrepp, börjar man vanligtvis med käll-IP-adressen, ifall det inte är ett denial of service-angrepp som normalt förfalskar IP-adresser eller använder oskyldiga personers adresser. Använd därför först din dators egna informationsfunktioner för att hitta angriparens tekniska anslutning vilket är det företag som tillhandahåller Internetanslutningen till källnätverket. Du kan tex använda en nätbläddrare för att hitta anslutningspunkten för angreppet. Kontakta därefter den Internetleverantör du hittat i din logg och begär hjälp. Det visar sig då oftast att du får upprepa denna process eftersom det troligtvis är flera leverantörer inblandade.

Från FOA-tidningen nr 3-2000 - www.foi.se/framsyn

KONTAKT 

FOI
Totalförsvarets forskningsinstitut
164 90 Stockholm

Tel: 08-555 030 00
Fax: 08-555 031 00

Orgnr: 202100-5182

registrator@foi.se
Kontakta oss